Google-Experten finden Designfehler in Avast Antivirus

Die Sicherheitsexperten von Google haben einen potenziellen Designfehler in der Antiviren-Software von Avast entdeckt, mit dem ein PC aus der Ferne gehackt werden könnte.

Am Montag veröffentlichte Tavis Ormandy, Experte bei Google, das Problem, das sich mit der Antiviren-Engine "AvastSvc.exe" von Avast befasst. Das Programm wurde entwickelt, um die nicht vertrauenswürdigen Daten Ihres Computers in lokalen Dateien und den Netzwerkverkehr auf vermutete Malware zu analysieren. Ormandy entdeckte jedoch, dass es möglich war, AvastSvc.exe dazu zu bringen, gefährlichen Code auszuführen. Das liegt daran, dass AvastSvc.exe die höchsten Systemberechtigungen besitzt und ohne jegliche Isolierung vom Rest des Betriebssystems ausgeführt wird.

Obwohl es mit höchsten Privilegien ausgestattet ist und von Anfang an nicht vertrauenswürdige Eingaben verarbeitet, ist es nicht in einer Sandbox gespeichert und hat nur eine geringe Absicherung. Alle Schwachstellen in diesem Prozess sind kritisch.

Das Risiko wird noch dadurch erhöht, dass AvastSvc.exe einen eingebauten Interpreter zum Lesen und Ausführen von Javascript-Dateien hat, die auf Webseiten verwendet werden. Avast sagt, der Interpreter sei so konzipiert, dass er als "Emulator" fungiert, vermutlich damit die Software eine Javascript-Datei ausführen kann, um zu prüfen, ob sie bösartig ist.

Dennoch bietet derselbe Emulator Internet-Kriminellen einen potenziellen Einstieg in die Manipulation von AvastSvc.exe. Die Hauptsorge ist, dass, wenn ein Hacker jemals einen ernsthaften Fehler in der Antiviren-Software von Avast finden sollte, er möglicherweise Javascript-Dateien auf Webseiten oder in E-Mails mit einer Fallen versehen könnte, um sie auszunutzen.

Es ist nicht das erste Mal, dass Ormandy vor solchen Bedrohungen gewarnt hat. Im Jahr 2017 fanden er und die Sicherheitsexpertin von Google, Natalie Silvanovich, eine ähnliche Schwachstelle in Microsofts Windows Defender. Wenn die Software eine speziell präparierte Datei scannt, könnte Windows Defender automatisch dazu veranlasst werden, bösartigen Programmcode auszuführen. "Das ist verdammt schlimm", twitterte Ormandy damals. Glücklicherweise war Microsoft schnell dabei, einen Patch zu installieren.

Im Fall von Avast hat der Antiviren-Anbieter beschlossen, den Javascript-Emulator im Programm AvastSvc.exe abzuschalten, um den potenziellen Designfehler zu beheben.

Dies wird die Funktionalität unseres AV (Antivirus)-Produkts, das auf mehreren Sicherheitsebenen basiert, nicht beeinträchtigen.

Auf Twitter wies Avast auch darauf hin, dass die Bedrohung eher theoretischer Natur sei.

Das Unternehmen hat das Problem gepatcht, nachdem Ormandy und Silvanovich letzte Woche einen Bericht über den Designfehler an die Antiviren-Firma geschickt hatten. Um Avast vielleicht zum Handeln zu zwingen, hat Ormandy auch ein öffentliches Tool geschaffen, das interessierten Usern helfen soll, den Javascript-Emulator in AvastSvc.exe auf Fehler zu analysieren.